seguridad en ambientes distribuidos
TRANSCRIPT
Expertos en Seguridad Informática2012
SEGURIDAD EN SISTEMAS
DISTRIBUIDOSJorge Rojas Zordan
Sub Gerente de Innovación y Desarrollo de Productos
Expertos en Seguridad Informática2012
Agenda
2
Evolución de las amenazas de seguridad
Sistemas Distribuidos y Tendencias de Control
Modelos de control
Desafíos para el futuro
Expertos en Seguridad Informática2012
De la telaraña a la Nube
• A finales de los „90 el mundo vivió el boom de
las punto com.
• En el 2000, Chile vivió el boom de la Internet.
• A finales de la década, el mundo se vuelca a
las redes sociales.
“Cada uno de estos avances nos obliga a pensar
en cómo evolucionan los Riesgos”
Internet
• En los próximos años los
dispositivos móviles marcarán
otro cambio tecnológico
Expertos en Seguridad Informática2012
Las 10 amenazas del 2011
1. Password de administración débiles o en blanco
2. Información sensible transmitida por redes sin
encriptación
3. Servidores MS-SQL con password débiles o sin
clave
4. Envenenamiento de tablas ARP
5. Acceso a Access Point fraudulentos
6. Uso de encriptación WEP
7. Suplantación de credenciales en proceso de autenticación NTLM
8. Mala configuración de reglas en FW (reglas any)
9. Información sensible almacenada fuera de zonas seguras
10. Información sensible trasmitida vía BluetoothFuente: Trustwave security report 2012
Expertos en Seguridad Informática2012
Seguridad de la
Información
Impactos causados por incidentes de seguridad en el 2011
Confidencialidad
Disponibilidad
Integridad
Fuente: 2012 Verizon Data Breach Report
Expertos en Seguridad Informática2012
¿Riesgo en Chile?
• Los riesgos en Chile no difieren de la realidad mundial
• Tarde o temprano, los riesgos que vemos en el extranjero llegarán a Chile
Expertos en Seguridad Informática2012
Un ejemplo: Stuxnet
• Virus que ataca los sistemas de control industrial
• Propagación:
• Dispositivos USB
• Discos de red compartidos
• Vulnerabilidad de colas de impresión
windows
• Vulnerabilidad de RPC de windows
• Mecanismos P2P
• El 29 de Septiembre del 2010:
• 100.000 host infectados en 155 países
• Sobre 60.000 host infectados en Irán
• 1041 host infectados en Chile
Expertos en Seguridad Informática2012
Agenda
8
Evolución de las amenazas de seguridad
Sistemas Distribuidos y Tendencias de Control
Modelos de control
Desafíos para el futuro
Expertos en Seguridad Informática2012
DMZ
Sistemas Distribuidos y Seguridad
Usuarios
Usuarios
Usuarios
Red
Internet
Datacenter Datacenter
DMZ
Datacenter
Producción Producción
Características:
• Información distribuida en múltiples Datacenter
• Cadena de operación productivas altamente
tecnologizada
• Múltiples grupos de usuarios con distintos roles
y responsabilidades (internos y externos)
• Necesidad de acceso remoto de usuarios
(internos y externos)
• La Red es un punto neurálgico de todo el
sistema
Expertos en Seguridad Informática2012
La administración del riesgo Ti es un proceso continuo
• Arquitectura de seguridad
• Diseñar Procesos• BCP y DRP
•Seguridad Física•Control de acceso
•Administración de Operaciones
•Registro de eventos
• Evaluar amenazas
• Plan Estratégico de Seguridad
• Estructura organizacional
•Métricas•Monitoreo continuo
•Educar y Difundir
•Ataques Controlados
•Manejar Incidentes
•Cumplimiento
Monitorear y Gestionar
Evaluar Riesgos y
Oportunidades
Evaluar alternativas
Mitigar Riesgos
Expertos en Seguridad Informática2012
Fuentes de Riesgo
Naturales(Inundaciones, terremotos, tormentas eléctricas, etc)
Ambientales( Fallas eléctricas
prolongadas, contaminación, exceso
humedad, incendios, etc)
Humanas(Actos fortuitos o
deliberados)
Expertos en Seguridad Informática2012
¿Como evaluar el impacto en mi negocio de una amenaza?
Activo
Vulnerabilidad
Amenaza
RIESGO
Riesgo = Activo x Amenaza x Vulnerabilidad
Expertos en Seguridad Informática2012
Estrategias para abordar el riesgo
Evitar Mitigar
Transferir Aceptar
Riesgo
• Eliminar la exposición • Implementar controles
• Contratos con terceros• Contratar seguros
• Inversión en seguridad sobrepasa las perdidas.
Expertos en Seguridad Informática2012
Cuidar el balance entre Impacto en el negocio e Inversión en Seguridad
• Mitigar una amenaza significa reducirla a un nivel aceptable.
• Aplicar el principio de Pareto
• El 80% del riesgo puede ser mitigado utilizando 20%
de los recursos.
• Focalizarse en los riesgo importantes.
• Esforzarse en mitigar riesgo al menor costo.
• Mínimo impacto para el negocio.
• Evaluar múltiples alternativas y elegir la mejor
• En ciertas ocasiones un control compensatorio vale más que un
control mitigador.
Expertos en Seguridad Informática2012
• Implementar un control, significa:
• Establecer una política o norma.
• Dar a conocer esa política.
• Establecer un monitoreo efectivo:
• Detectivo
• Preventivo
• Dejar registro de la evidencia.
• Validar la efectividad.
• Buscar retroalimentación
• Un control que no deja evidencia, no existe.
Mitigar un riesgo implica mucho más que implementar una herramienta.
Expertos en Seguridad Informática2012
Implementar una estrategia de seguridad por capas
Modelo de seguridad por capas
Información
InternetControles Físicos FirewallSegmentación de redesIDS de RedSeguridad en RouterTest de penetración
Control PerimetralesGateway Antivirus AntispamIDS Host
Controles LógicosPerfilamientoPolíticas de passwordRegistros de actividadesPolíticas de dominio
Analizar las amenazas
desde el perímetro exterior
(generalmente Internet)
hasta el interior
(información crítica).
En cada capa o nivel,
agregar controles
complementarios a la capa
anterior.
Cada capa debe potenciar el
nivel anterior.
No debe permitir una
conexión desde el perímetro
exterior a la capa interna.
Expertos en Seguridad Informática2012
• ¿Por qué necesitamos medir?
• Para verificar el éxito o fracaso de la
implementación del control.
• Para mostrar el valor de nuestra labor.
• Para mejorar nuestros objetivos.
• Para predecir el comportamiento de las
amenazas.
• Para demostrar cumplimiento frente a
reguladores externos y auditores.
Lo que no se mide, no se puede mejorar
Definición (1)
Aprobación (2)
Plan Anual (3)
Bajo
A
lto
Bajo Alto
Cumplimiento
Form
alidad
Expertos en Seguridad Informática2012
• COBIT (Control Objetives for Information and
related Technology) recopilado por ISACA.
• BS 17.799 o ISO 27.001 (Information Security
Management System)
• CBK (Common Body of Knowledge) recopilado
por ISC
• ITIL (Information Technology Infrastructure
Library) recopilada por el Gobierno Ingles.
Adoptar un estándar, evita reinventar la rueda
• Hay varios estándares de seguridad que pueden
ayudarnos a establecer un marco de control de
riesgo TI.
Expertos en Seguridad Informática2012
Los controles más utilizados en Seguridad TI
• Firewall 94 %
• Log de auditoría 83 %
• Soluciones anti malware 83 %
• Protocolos de seguridad Wireless 82 %
• Recuperación de Desastres 78 %
• Firma electrónica 69 %
• Encriptación de datos (en transmisión) 67 %
• Servicios de detección/prevención de intrusos 66 %
• Encriptación de E-mail 60 %
• Encriptación de datos (en storage) 44 %
• Encriptación de dispositivos móviles 39 %
• Autenticación por doble factor 33 %
• Single sign on 29 %
• Infraestructura de llave pública 26 %
• Infraestructura DLP 24 %
• Biometría 19 %
Fuente: 2009 HIMSS Security Survey
Expertos en Seguridad Informática2012
Agenda
20
Evolución de las amenazas de seguridad
Sistemas Distribuidos y Tendencias de Control
Modelos de control
Desafíos para el futuro
Expertos en Seguridad Informática2012
DMZ
Identificar los Dominios de Seguridad
Usuarios
Usuarios
Usuarios
Red
Internet
Datacenter Datacenter
DMZ
Datacenter
Producción Producción
Perímetro Externo
Zona DMZ
Perímetro Datacenter
Red de Transporte
Zona Usuarios
Zona
Producción
Zona
Producción
Expertos en Seguridad Informática2012
• Verificar cumplimiento de políticas de
seguridad ante de establecer conexión.
• Establecer VPN o VPN SSL
• Utilizar portales cautivos de accesos
• Antimalware / Firewall / Host IPS
• Control de dispositivos externos (pendrive,
dvd-write, ipod)
• Encriptación de Discos Duros
Perímetro Externo
Expertos en Seguridad Informática2012
Zona DMZ
Firewall
Centro de
Datos 2Internet
Centro de
Datos 1
Balanceo Global y Local
Aceleración SSL
Firewall Aplicativo
Web Servers
Firewall
Application
Servers
Bases de Datos
• Modelo altamente redundante
• Múltiples capas
complementarias de controles
• A nivel de centros de
procesamientos, el modelo es
escalable
• Modelo escalable en todas sus
capas
• Modelo soporta multimarcas
• Monitoreo 7 x 24 x 365
Intrution Prevention
System
Firewall Bases
de Datos
Monitoreo
DNS
Expertos en Seguridad Informática2012
Perímetro Datacenter
• Establece un perímetro de
seguridad para los servicios Ti
• Modelo de control multicapas
• Sólo se exponen a usuarios, los
servicios necesarios
• Protección de acceso a servicios
de administración y soporte
• Monitoreo 7 x 24 x 365
• Utilizar encriptación de discos, file
servers y/o los respaldos externos.
FW Aplicativo FW BD
Interface
Aplicación
IDS/IPSFW
Perímetro seguro
Expertos en Seguridad Informática2012
Red de Transporte
Internet
Enlaces
Activo- Activo
con tráfico segmentado
Control de Acceso
Aceleración
Encriptación
Aceleración
Encriptación
Tx. negocio
Streaming, e-learning
Ruta Default
diferente a
segmento
negocios
Usuarios
Centro de
Datos 1
Centro de
Datos 2
Usuarios
Carrier’s
Carrier’s Central
Segmento seguro
Respaldo centralizado
configuraciones y
acceso seguro
RuteoControl de
Acceso
IPS/IDS
Expertos en Seguridad Informática2012
Zona Usuarios
• Antimalware / Firewall / Host IPS
• Control de dispositivos externos (pendrive, dvd-
write, ipod)
• Encriptación de Discos Duros
• Escritorio controlado
• Control de fugas de información
• Control de contenidos
• Control de acceso a aplicaciones
• Control de licencias (inventario)
• Control de acceso a la red (NAC)
• Mecanismos acceso remoto
¿Qué ocurre con los
dispositivos personales?
Expertos en Seguridad Informática2012
Zona Producción
• Red independiente y altamente
redundante
• Transmisión de datos encriptados
• Seguritización de servidores de
control
• Acceso muy restringido y
controlado
• Monitoreo de seguridad frente a
ataques y malware
• Control de inventario de hardware
autorizado y no autorizado
• Control de inventario de software
autorizado
Wireless
Seguro
Red Scada
encriptada
IDS
Servidores de
Control
Red
Maquinarias
Expertos en Seguridad Informática2012
15 Controles Críticos
1. Inventario de los dispositivos autorizados y no autorizados
2. Inventario de software autorizado y no autorizado
3. Seguridad de hardware y software en equipos portátiles, estaciones
de trabajo y servidores
4. Seguridad en la red tales como firewall, enrutadores y
conmutadores
5. Defesa perimetral
6. Mantenimiento, monitoreo y análisis de logs de auditoría
7. Seguridad de software de aplicación
8. Uso controlado de privilegios administrativos
9. Acceso controlado basado en “Necesidad de conocer”
10. Continua evaluación de vulnerabilidades y corrección
11. Monitoreo y control de cuentas de usuarios
12. Defensas contra malware
13. Limitación y control de puertos de red, protocolos y servicios
14. Control de dispositivos inalámbricos
15. Prevención de pérdidas de datos
Expertos en Seguridad Informática2012
Agenda
29
Evolución de las amenazas de seguridad
Sistemas Distribuidos y Tendencias de Control
Modelos de control
Desafíos para el futuro
Expertos en Seguridad Informática2012
Los desafíos para la próxima década
• Administración de dispositivos smartphones,
tablets y notebook personales
• Unificación de las tecnologías y controles
• Administración central y unificada
• Mejorar entendimiento de la política de
seguridad, de cara a los usuarios
• Orientar los controles a los aplicativos
30
Expertos en Seguridad Informática2012
Administración de dispositivos smartphones, tablets y notebook personales
• Autenticación integrada a Active Directory o
Repositorio LDAP
• No importará la red donde está el usuario,
sólo si fue autenticado o no
• Buscar controlar la información empresarial
que radica en dispositivos externos
• Respaldo y Eliminación remota de
información
Expertos en Seguridad Informática2012
Unificación de Tecnologías y Controles
• Simplificar los
elementos de control
• Lograr una
administración mas
eficiente y menos
propensa a error
humano
• Tener flexibilidad para
establecer controles de
acuerdo a la
necesidades del
negocio
• Mejorar eficiencia
dentro de cada dominio
Expertos en Seguridad Informática2012
Unificación de Tecnologías de control
FW VPN IPSAnti
Virus
Filtro
URL
Anti
Spam
DLPAnálisis de
Compor-
tamiento
El uso de los distintos módulos deberá ser
dinámico y acorde a las necesidades del
negocio
Expertos en Seguridad Informática2012
Administración Central y Unificada
• Integrar bajo una única gestión, al menos,
los registros de eventos
• Establecer métricas de seguridad que
permitan determinar desviaciones a las
políticas de seguridad
• Integrar las evaluaciones de
vulnerabilidades
• Monitorear 24 x 7 x 365
Expertos en Seguridad Informática2012
Política de seguridad de cara al usuario
• El usuario debe percibir que los controles de
seguridad son de su responsabilidad:
• Autenticación y Autorización
• Resguardo de la información
• Control de acceso
• Control de contenidos
• Clasificación de información
• Uso controlado de dispositivos externos
(pendrives, discos USB, Iphone, etc)
Expertos en Seguridad Informática2012
Orientar los controles a los aplicativos
Amenaza x
Malware
Saturación de
Ancho de Banda
Perdida de
Productividad
Expertos en Seguridad Informática2012
Conclusiones
• Tendremos que adecuar los controles de seguridad a
las nuevas necesidades de negocio
• Las tecnologías cambiarán, pero dependerá de
nosotros el sacarles el mejor partido
• La seguridad es dinámica y debemos reaccionar
oportunamente
“Es posible compatibilizar la funcionalidad de la
red y el dinamismo del negocio, con un nivel de
seguridad acorde”
Expertos en Seguridad Informática2012
Gracias por asistir a esta sesión…
Expertos en Seguridad Informática2012
SEGURIDAD EN SISTEMAS
DISTRIBUIDOSJorge Rojas Zordan
Sub Gerente de Innovación y Desarrollo de Productos